파란.com에서 배포하는 스파이웨어

파란 스파이?

프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.

목차

파란의 스파이웨어

얼마전 부터 QAOS.com 게시판에 파란에서 스파이웨어를 배포한다는 글(

URL Snooper로 확인해본 결과 웹 접속 관리 및 자동 업데이트라는 'ActiveX'외에 다음 프로그램도 다운받아 설치한 다는 점이다.

http://activexdown.paran.com/paranactivex/UPDATE/ImExtern.cab

스파이웨어처럼 구는 파란 웨어

특히 ImExtern.cab 파일에는 svchosts.execsrs.exe처럼 시스템 파일명과 비슷한 파일명을 갖는 파일이 포함되어 있으며, '웹 접속 및 자동 업데이트'라는 'ActiveX'를 설치하면 함께 설치된다는 점이다.

svchosts.exe에 대해서...라는 글에서는 파란에서 설치하는 'ActiveX'를 SpyZerowin-adware/zzum.svc라는 에드웨어로 검출하는 것으로 되어 있지만 확인해본 결과 SpyZero의 검출 결과는 오진이라는 생각이 든다.

다운받은 ImExtern.cab에는 svchosts.exe라는 파일이 포함된 경우도 있고, csrs.exe라는 파일이 포함된 경우도 있었는데 csrs.exe라는 파일이 포함된 경우 SpyZero의 실시간 모니터 프로그램이나 검색 프로그램에서 csrs.exe를 에드웨어로 검출하지 않았다.

아울러 이 파일들은 인터넷에서 AGOBOT이라는 트로이 목마로 언급하고 있었다. 그러나 'AGOBOT'이라는 트로이 목마는 'RUN 레지스트리'를 통해 실행되지만 파란에서 배포하는 svchosts.execsrs.exe는 따로 실행하는 코드가 존재하지 않았다. 그러나 다음과 같은 점 때문에 파란 블로그사용하지 말것을 권고한다.

KT가 어떤 의도로 위와같은 프로그램을 사용자 몰래 사용자의 시스템에 설치했는지는 아직 알 수 없다. 그러나 사용자의 동의를 구하지 않고 이런 트로이 목마성 프로그램을 설치한다는 하나만으로도 파란 블로그를 사용할 필요는 없는 것 같다. '파란'에서 이미 ActiveX를 다운받아 설치한 사람은 다음 절차에따라 파란에서 설치한 ActiveX를 제거하기 바란다.

  1. 현재 기동중인 모든 '인터넷 탐색기'를 종료한다. 가급적 모든 프로그램을 종료하는 것이 좋다.
  2. UninstallParan.zip 파일을 다운받아 임의의 폴더(예: D:\Temp)에 압축해제한다.
  3. 압축해제한 폴더에서 installParan.cmd를 두번 클릭해서 실행한다.

남은 이야기

프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.

난 국내에서 악덕기업 하나를 꼽으라면 당연히 을 꼽는다. 그러나 둘을 꼽으라고 하면 KT를 꼽는다. 아울러 과 KT는 이러한 신념을 배신한 적이 없다.

관련 글타래

Powered by Textcube